Um ator de ameaças baseado na América Latina (LATAM), codinome FLUXROOT, foi observado utilizando projetos serverless do Google Cloud para orquestrar atividades de phishing de credenciais, destacando o abuso do modelo de computação em nuvem para fins maliciosos.
"Arquiteturas serverless são atrativas para desenvolvedores e empresas pela flexibilidade, custo-benefício e facilidade de uso", disse o Google em seu relatório semestral de Ameaças Horizontes.
Essas mesmas características fazem com que os serviços de computação serverless de todos os provedores de nuvem sejam atrativos para os atores de ameaça, que os utilizam para entregar e comunicar com seu malware, hospedar e direcionar usuários para páginas de phishing e para executar malware e scripts maliciosos especificamente adaptados para funcionar em um ambiente serverless.
A campanha envolveu o uso de URLs de contêineres do Google Cloud para hospedar páginas de phishing de credenciais com o objetivo de coletar informações de login associadas ao Mercado Pago, uma plataforma de pagamentos online popular na região da LATAM.
FLUXROOT, segundo o Google, é o ator de ameaça conhecido por distribuir o trojan bancário Grandoreiro, com campanhas recentes também aproveitando serviços em nuvem legítimos como Microsoft Azure e Dropbox para distribuir o malware.
Separadamente, a infraestrutura de nuvem do Google também foi armada por outro adversário chamado PINEAPPLE para propagar outro malware, conhecido como Astaroth (também conhecido como Guildma), como parte de ataques direcionados a usuários brasileiros.
"PINEAPPLE utilizou instâncias do Google Cloud comprometidas e projetos do Google Cloud que eles próprios criaram para criar URLs de contêiner em domínios serverless legítimos do Google Cloud como cloudfunctions[.]net e run.app", observou o Google.
As URLs hospedavam páginas de destino redirecionando alvos para infraestrutura maliciosa que distribuía Astaroth.
Além disso, diz-se que o ator de ameaça tentou burlar as proteções de gateway de e-mail utilizando serviços de encaminhamento de e-mail que não descartam mensagens com registros de Sender Policy Framework (SPF) falhos, ou incorporando dados inesperados no campo SMTP Return-Path a fim de acionar um timeout de solicitação de DNS e fazer falhar as verificações de autenticação de e-mail.
O gigante da pesquisa disse ter tomado medidas para mitigar as atividades derrubando os projetos maliciosos do Google Cloud e atualizando suas listas de Navegação Segura.
A armação de serviços e infraestrutura de nuvem por atores de ameaça – variando desde mineração ilícita de criptomoedas como consequência de configurações fracas até ransomware – foi impulsionada pela adoção aprimorada de nuvem entre as indústrias.
A abordagem tem o benefício adicional de permitir que os adversários se misturem às atividades normais da rede, tornando a detecção muito mais desafiadora.
"Atores de ameaça aproveitam a flexibilidade e facilidade de implantação de plataformas serverless para distribuir malware e hospedar páginas de phishing", disse a empresa.
Atores de ameaça abusando de serviços em nuvem mudam suas táticas em resposta às medidas de detecção e mitigação dos defensores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...